Palo Alto Networks memberikan peringatan serius kepada para pelanggannya setelah menemukan bahwa peretas yang diduga disponsori oleh negara telah mengeksploitasi kerentanan zero-day tingkat kritis pada sistem operasi PAN-OS selama hampir satu bulan.
Kerentanan yang dilacak sebagai CVE-2026-0300 ini memungkinkan penyerang jarak jauh untuk mengeksekusi kode secara tidak sah (unauthenticated remote code execution) dengan hak akses root pada perangkat firewall seri-PA dan seri-VM yang terekspos ke internet.
Analisis Teknis: Kerentanan di Portal Otentikasi
Celah keamanan ini ditemukan pada komponen PAN-OS User-ID Authentication Portal (atau Captive Portal). Berikut adalah detail teknis yang perlu diperhatikan oleh administrator jaringan:
- Jenis Serangan: Buffer overflow pada layanan otentikasi.
- Dampak: Penyerang dapat mengambil kendali penuh atas sistem tanpa memerlukan kredensial apa pun.
- Perilaku Penyerang (CL-STA-1132): Unit 42 melaporkan bahwa kelompok penyerang ini sangat terampil dalam menyembunyikan jejak. Mereka segera melakukan pembersihan log (log cleanup), menghapus pesan crash kernel, entri nginx, dan file core dump segera setelah berhasil menyusup.
- Alat yang Disebarkan: Setelah menguasai perangkat, penyerang memasang alat tunneling Earthworm dan ReverseSocks5 untuk membuat jalur komunikasi terselubung dan melewati pengamanan NAT.
Populasi Perangkat yang Berisiko
Data dari Shadowserver menunjukkan ancaman ini sangat nyata, dengan lebih dari 5.400 unit firewall seri-VM PAN-OS terdeteksi terekspos langsung ke internet. Sebaran terbesar berada di Asia (2.466 unit) dan Amerika Utara (1.998 unit).
Palo Alto Networks mengklarifikasi bahwa celah ini tidak berdampak pada layanan Cloud NGFW atau perangkat manajemen Panorama.
Mitigasi Segera: Tindakan Sebelum Patch Rilis
Hingga saat ini, patch resmi masih dalam tahap pengerjaan dan baru dijadwalkan meluncur pada Rabu, 13 Mei 2026. Mengingat urgensi ini, administrator sistem sangat disarankan untuk:
- Membatasi Akses Portal: Pastikan akses ke User-ID Authentication Portal hanya diizinkan dari zona tepercaya (trusted zones) saja.
- Nonaktifkan Layanan: Jika tidak memungkinkan untuk membatasi akses, segera nonaktifkan portal tersebut melalui menu:
Device>User Identification>Authentication Portal Settings> Hilangkan centang pada Enable Authentication Portal.
Badan Keamanan Siber AS (CISA) telah memasukkan CVE-2026-0300 ke dalam katalog Known Exploited Vulnerabilities (KEV) dan memberikan tenggat waktu bagi lembaga federal untuk mengamankan perangkat mereka paling lambat Sabtu tengah malam, 9 Mei 2026.
Sumber: Unit 42 Palo Alto Networks